Salon des curieux

Comment choisir ses mots de passe 5/5 (1)

By Posté dans - Informatique / Wordpress le avril 23rd, 2014 0 Commentaires comment choisir son mot de passe | © Aymeric Hays-Narbonne

Comment choisir ses mots de passe…bonnes pratiques

L’idée de cet article vient mes étudiants. Régulièrement j’interviens pour sensibiliser les utilisateurs et amis sur quelques règles de sécurité informatique. Voilà donc une mini-série d’articles qui se proposera de vous sensibiliser et donner quelques trucs. Vous êtes assez nombreux, abonnés ou non, à ne pas être des experts en informatique. J’espère que ces lignes vous aiderons et permettrons d’éviter quelques mauvaises déconvenues !

La rédaction de cet article s’inscrit dans ce qui restera sans doute l’une des plus grandes failles de sécurité sur internet depuis sa création…du moins jusqu’à la prochaine. En effet, le protocole Open SSL (chiffrage des données sur internet) comportait une faille importante depuis de nombreux mois (mars 2012 !). Baptisée HEARTBLEED cette faille majeure a été identifiée par Google. Potentiellement une bonne partie des sites utilisant ce protocole de cryptage (sites en https) ont pu être piraté. Les banques françaises affirment qu’elles n’ont pas pu être impactées par Heartbleed (on est habitué en France aux nuages radioactifs qui s’arrêtent au frontières, on a donc rien à craindre de ce côté là!). Pour autant un très grand nombre de sites marchands et réseaux sociaux sont obligés de mettre à jour le chiffrement car le risque de piratage existe, et la liste des sites impactés par Heartbleed est longue ! Certains téléphone (Android) auraient également pu être touchés.

heartbleed bug

Bref, cette faille a deux impacts : il faut changer vos mots de passe (après la mise à jour des sites, voir ci-dessus) et bien choisir ces mots de passe. Voilà quelques pistes :

Chapitre 1, comme choisir ses mots de passe.

Quelques règles comme point de départ. Ensuite je vous donnerais mes « petits trucs ».

  1. Un mot de passe ne doit pas être court. Plus c’est long, plus c’est long….à casser. Assez simple à retenir. On a coutume de dire que 8 caractères sont un minimum. 10 est le socle de prudence. Mes mots de passes les plus sécurisés ont plus de 30 caractères !
  2. Le dico c’est tabou : ne cherchez pas, n’importe quel mot, quelque soit sa longueur, s’il se trouve dans un dictionnaire est à proscrire (idem pour votre date de naissance ou digicode)!
  3. N’utilisez pas de noms propres, surtout le vôtre ou celui du chat !
  4. N’écrivez pas le mot de passe sur..ou sous…le clavier (et certains d’entre-vous se sentent assez mal, juste maintenant) ! Nous verrons dans un prochain article comment et où stocker les mots de passe, même pour les mémoires d’huîtres,
  5. Utilisez TOUTES les touches de votre clavier : un bon mot de passe comprend : des lettres majuscules & minuscules ET des chiffres ET de la ponctuation ET des caractères accentués !
  6. Changez les mots de passe régulièrement,
  7. N’utilisez pas le même mot de passe partout, variez les plaisirs !
  8. Chaque boite mail doit avoir un mot de passe unique. C’est, la plupart du temps, via le piratage de vos boites mails que les ennuis commencent..et j’en ai fait la douloureuse expérience (voir plus bas).

 

Comment faire pour générer et choisir ses mots de passe ?

Si vous avez bien lu ce qui est écrit au dessus, vous avez compris qu’on ne peut pas avoir un seul mot de passe, mais un jeu de mots de passe. Après tout, vous avez combien de clés sur votre trousseau ? Pour commencer je vous invite à lire cet article qui vous fera comprendre comment trouver un mot de passe. C’est une astuce assez pratique. Vous pouvez aussi utiliser un générateur de mot de passe en ligne, mais pour ma part je m’en méfie car ces sites ne sont pas sécurisés et donc….sensibles. Pour autant cela peut vous donner quelques idées. La méthode la plus efficace consiste à faire marcher votre imagination et votre mémoire !

mots de passe | © Aymeric Hays-Narbonne

Ensuite il faut classifier les sites et usages. Voilà comment je procède :

1/J’identifie les risques :

  • Catégorie A = Gros risques / les sites dont je ne veux surtout pas qu’on y prenne mes infos (administration, banque, paypal, email…) Chaque site de cette catégorie à un mot de passe unique,
  • Catégorie B  = Risques, mais bonne sécurisation (site en https). Je pars du postulat qu’un site en https, de type marchand, est assez sécurisé (Fnac…),
  • Catégorie C = Risques et  mauvaise sécurisation (sites non https). Les sites marchands peu sécurisés sont ceux, par exemple, qui vous envoient par mail le mot de passe en clair après votre inscription,
  • Catégorie D = Peu de risques (peu de données personnelles) et pas de sécurisation : Les forums, par exemples appartiennent à cette catégorie,
  • Catégorie E = Peu de risque, et vraiment pas de sécurisation : les sites un peu underground, ou vraiment louches. Ils ont une boite mail (pour l’inscription) rien que pour eux,
  • Hors catégories : Les terminaux comme portable, code SIM, PC au bureau. Chaque terminal est unique, et à gérer de cette manière.

2/Je génère des familles de mots de passes en fonction des catégories évoquées ci-dessus : ce sont des mots de passe qui se ressemblent beaucoup, donc plus facile à retenir, mais qui sont déclinés (par exemple en ajoutant fnac à la fin pour la fnac, fb pour facebook, etc). C’est un peu la même technique qui est abordé dans le lien cité au dessus. Voilà quelques règles que j’applique :

  • Chaque boite mail à son propre mot de passe unique (qui répond aux règles énoncées plus haut),
  • Chaque banque, Paypal, hébergeur web (OVH), Steam a son propre mot de passe (qui répond aux règles énoncées ci-dessus),
  • Chaque administration (sécu, CAF…) a son propre mot de passe unique (qui répond aux règles énoncées ci-dessus),
  • Chaque terminal (téléphone, tablette, ordi) a son mot de passe unique…surtout au bureau !
  • J’utilise une déclinaison (famille) de mots de passes pour les sites marchands (qui sont en HTTPS donc censés être un peu sécurisés)
  • Une autre famille de mots de passe pour les réseaux sociaux (eux aussi en HTTPS)
  • Une dernière famille pour les sites marchands moins sécurisés.

Je vous assure, ce n’est pas si complexe. L’idée est d’organiser, de labelliser les choses pour plus de sécurité. Pour finir, j’ai créé une boite mail Hotmail avec un faux nom et prénom qui me sert de poubelle. Dès que j’ai un doute, c’est ce mail que je renseigne. Comme je ne l’ai jamais donné à un membre de ma famille, pas de risque de rater un mail important et surtout, pas grave si cette boite est piratée !

La prochaine étape : comment retenir ses mots de passe et où les stocker.

 

Suis-je totalement parano ?

Je sais bien que vous vous posez la question, laissez moi vous raconter une mésaventure. Il y a 3 ans, ma boite orange a été piratée. Grâce à cela, à 3 h du matin, « j’ai » fait une demande de récupération de mot de passe pour mon hébergeur web (j’ai oublié mon mot de passe). Les mots de passe a été changé, le mail de demande de changement et notification de connexion supprimés. Ni vu, ni connu.

Quelques jours plus tard, j’ai constaté, par hasard, que je possédais un serveur dédié de plusieurs To de stockage pour plus de 1000 €/mois de location ! La carte bancaire utilisée pour régler la première mensualité avait été volée. J’ai donc résilié l’abonnement à ce serveur qui hébergeait des sites (jamais pu savoir lesquels). MAIS j’étais pénalement responsable de ces serveurs ET DE LEUR CONTENU. Mon interlocuteur, chez OVH, m’a donc fermement invité à porter plainte car si des images interdites ou films se trouvaient sur ces serveurs…légalement c’est moi qui les mettais en ligne !

J’ai passé 4 heures à la Police Judiciaire pour déposer plainte et surtout faire comprendre ce qui se passait. Par la suite j’ai constaté des commandes sur Amazon, Fnac, en mon nom. Il a donc fallu que change TOUS mes mots de passe, une demi-journée de plus de perdue. Bref, non, je ne suis pas paranoïaque, j’ai juste presque 30 ans de pratique  informatique et quelques aventures de ce style. Retenez ceci : c’est souvent via votre boite mail que vos emmerdements commencent.

 

Notez cet article

Rédacteur du blog. Diplômé en infographie multimédia et infographie 3D à l'école Emile Cohl, passionné par les nouveaux médias, le jeu-vidéo et la photo. Pilotage d'ULM multiaxe. Elite Dangerous : Passionné du jeu Elite: Dangerous depuis la Beta. Contributions : Fan Site Galnet.fr | Chaîne Youtube | Flux Twitter dédié | Page Facebook | Communauté francophone | Groupe steam | Mur Pinterest | Sites pro : Ecole Emile Cohl | identipack.fr

Laisser un commentaire